Leuk bedacht en hou je toch niet tegen als ze bv bij Freedom met de telecomwet in handen, de SSL/TLS-keys gaan vorderen.
Reden dat ik, ook para, graag mail met PgP en niet anders dan te vorderen is bij mij en mijn contact.
Waarom zou dat voor anderen erg zijn als de gebruiker(s) in kwestie bewust van wat ze doen, dat helemaal prima vinden ?
Ik ageer tegen de opgelegd en afgedwongen veiligheid - door iets anders niet als keuze te willen bieden - en gebruikers onderling geen keuze hebben dan (andermans) ondoorzichtige veiligheden.
Hierbij is het goed dat onbewust zijnde gebruikers “standaard” uit mogen gaan van een zekere basisbescherming in Providerdiensten die anders kwaadwillenden misbruik laat maken.
Voorbeeld, ik vind het paternalistisch dat bv een Freedom haar gebruikers verplicht tot haar SSL (certificaten) omdat zij volgens eoa waarzegger elders (waar zijzelf geen zicht op heeft), vindt dat het zo goed veilig is (dat het niet meer - laat staan makkelijk - te gebruiken is).
Nou nou, dat is nou jammer. Met dit soort opmerkingen doe je de discussie echt geen goed!
Mullvad is een bekende en alom gerespecteerde VPN provider, actief sinds 2009.
En wat betreft Zweden:
"About the EU Data Retention Directive: The directive does not apply to Mullvad because we are not considered an electronics communications service. This is also the case for Sweden’s Lagen om elektronisk kommunikation (LEK). Swedish legislation "
https versleutelt alleen de inhoud. Niet de verkeersgegevens (adressering).
VPN versleutelt het hele beriicht, inclusief de verkeersgegevens.
Naar analogie van het huis met slot:
Ik weet dat er een inbrekersgilde bestaat dat een loper heeft waarmee hij bij wet elk huis (met driepuntssluiting en politiekeurmerk veilig wonen) stiekum binnen kan en mag komen.
Daarom doe ik een extra ketting met hangslot om mijn huis, om het die inbrekers moeilijker te maken.
Omdat mail een communicatie is tussen minimaal 2 personen, je hebt ook een bepaalde verantwoordelijkheid om daar verantwoord mee om te gaan. Bovendien maak je het anderen onnodig lastig (en ook jezelf, maar toch vooral anderen), die moeten hun servers namelijk zo configureren dat ze nog steeds oude ciphers of onbeveiligde verbindingen accepteren. Doe je dat niet, dan kunnen jouw gebruikers niet meer mailen van/naar die onveilige mailservers. Als alleen je eigen mail over die server loopt kan je zoiets hebben van “jammer dan, veilig of anders maar niet”, maar als je een mailserver beheert waar honderden zo niet duizenden gebruikers op zitten, gaat dat gegarandeerd gezeur op de servicedesk opleveren.
Ja, maar hun netwerkleveranciers zijn dat wel. Onderaan de streep geen enkel verschil.
Zoals ik hier boven al schreef, een IP en een poort is zichtbaar. Niet zo heel spannend, behalve weten dat er een verbinding was/is tussen IP A en IP B over poort X weet je dan helemaal niks. Niet spannend genoeg om daarvoor een VPN verbinding te kopen en dan de indruk te hebben dat je beschermd bent, je privacy gevoelige informatie was al versleuteld. Koop je wel die VPN, dan weet niet je eigen ISP die informatie, maar een andere commerciële (buitenlandse) partij. En een beetje een zijweg: het is ook nog eens alles behalve duurzaam, verkeer dat al versleuteld is nogmaals versleutelen en verkeer binnen NL eerst naar Zweden sturen en dan weer terug naar NL. Kost allemaal onnodige energie.
De blauwe vrienden komen niet zomaar ongevraagd je huis in en hebben daar ook geen loper voor (tenzij jij een stormram een loper vindt), net zoals dat er op dit moment geen realistische mogelijkheden bestaan om moderne encryptie te kraken voor hen. Met alle respect, maar als je zo paranoia bent en dat serieus denkt is elke discussie zinloos en zou dat wel verklaren waarom je ondanks de risico’s die eigenlijk niet bestaan toch nog een extra beveiligingslaag wenst (die naar mijn mening alleen maar meer onveiligheid toevoegt, maar goed). Wat ik al eerder hier schreef:
En het (b)lijkt dus te werken.
Anyway, maakt ook niet uit verder. Als jij je er prettig bij voelt is het ook prima, toch? 
Je mist en wil het punt mogelijk niet meenemen dat een ander niet gaat over hier mail tussen mij en mijn geadresseerde.
Een ander kan hooguit vinden dat die het niet zo wijs zou vinden, willen of doen. Dat Freedom dat whatever onwijs vindt moet niet vermaken dat zijn geen andere keuze laat.
Voorbeeld vermaledijd & te almachtig Amazon biedt “mij” meer vrijheid dan Freedom: ik kan daar prima plat & “onveilig” mailen op poort 25 tussen “geverifieerde” adressen.
De reutemeteut van hoe mooi/noodzakelijk/fijn iets al of niet volgens een ander cq gebruikswijze is, doet (nofi) niet ter zake en dient wmb een keuze te zijn.
Ik snap natuurlijk dat een tevreden gebruiker elders niet kan/wil begrijpen waarom iemand iets anders zou willen (zijn).
Probleem is dat je door niet te willen versleutelen alle mensen waar jij mee mailt dwingt in een situatie waarin mogelijk hun privacy geschonden kan worden, doordat hun mail onversleuteld over internet loopt. Terecht dus dat steeds meer servers encryptie afdwingen en servers die dat weigeren buiten sluiten. Als je met iemand onderling wilt mailen zonder enige vorm van encryptie (misschien moet je je ook afvragen waarom je dat zou willen, maar goed laat het een keuze zijn), kan je misschien beter een eigen mailserver opzetten en die lekker gebruiken voor communicatie met alleen elkaar. Op die manier dwing je onwetenden niet om hun privacy op het spel te zetten. Je kan logischerwijs eigenlijk niet verwachten dat shared systemen meewerken aan dergelijke configuraties (al is dat in de praktijk helaas nog weleens nodig, zal gelukkig steeds minder worden, ik heb het inmiddels ook al op veel servers uitgeschakeld, maar echt grote gedeelde systemen kunnen helaas nog niet).
1 like
Dit zijn oplossingen die ik schaar onder het drogargument kopje, “our way or the higway but noway within us”.
NB: Los daarvan, hebben jij en ik de wat vermakelijke - moraal - discussie waarbij tot op de dag van vandaag ik niet weet of -en wat Freedom daarvan als organisatie - buiten dat Soverin het haar niet wil aanbieden - precies van vindt.
Wanneer mijn geadresseerde mail partner onveilig mijn mail wil ontvangen moet dat niet onmogelijk worden gemaakt… waarbij toepassen van encryptie sws meer werk is - ook in een shared omgeving - dan het weglaten.
Dat het bieden van die keuze als vinkje wat werk is, is als onderdeel van hun “vaardigheid” verder niet moeilijk.
Bij Freedom kunnen we als gebruiker bv wel kiezen (ssl/tls knopje) om mail zg onveilig te ontvangen maar niet om het zo uit te sturen.
Zullen we dan ook maar gelijk alle RFC’s in de prullenbak gooien? Kan iedereen het allemaal lekker doen zoals die het zelf wilt, zal vast heel goed gaan werken.
Zeg en wil ik dat ergens… ook qua RFC zijn dingen overigens altijd een keuze van degene die het toepast en is platte mail op poort 25 als sinds jaar en dag volledig beschreven.
Maar goed, ik snap de exit om dingen wat ridicuul af te leiden en ik daarin eigenwijs op inga.
Agree to disagree is ook een uitkomst.
Nee, het was een voorbeeld, jammer dat dat punt niet overkomt. Op shared systemen heb je je gewoon aan te passen aan hoe de eigenaar het wilt en moet je je aanpassen aan bepaalde standaarden (algemene, of die van de organisatie zelf), ben je het daar niet mee eens, dan geef je een suggestie hoe het volgens jou beter kan, doet de betreffende partij daar niks mee dan zoek je een andere oplossing die jou beter past. Overal maar op blijven klagen wordt een beetje vermoeiend. Soms lijkt het wel klagen om te klagen. Als je het zelf denkt beter te kunnen, doe het dan ook zelf. Maar ook dit zal vast wel weer een “eendenfuik” zijn, want daar struikel je hier over.
1 like
Ja, als niemand VPN gebruikt zal daardoor in 2030 de temperatuur op aarde 0,00036 graden Celsius minder stijgen 
Ik denk dat ik de analogie niet goed duidelijk heb gemaakt. Het zijn geen blauwe vrienden die voor je deur staan en met geweld binnenkomen. Nee, het zijn stiekeme insluipers die met een loper binnenkomen en zonder jouw toestemming in je huis gaan rondneuzen.
De analogie is dat in Nederland de providers verplicht zijn om jouw verkeersgegevens zonder jouw medeweten op verzoek te overhandigen aan de opsporingsdiensten. Ook zonder de inhoud van de data te kennen zijn de verkeersgegevens voor hen al een bron van informatie. Anders zouden ze daar geen wet voor in het leven hebben geroepen.
Ik denk dat we onze verschillende standpunten inmiddels wel duidelijk hebben gemaakt.
Ik voel me inderdaad prettiger om het internet op te gaan via een buitenlandse VPN.
Ah, gelukkig, ik begreep je verkeerd.
Ja, die mogelijkheid bestaat, maar echt niet zomaar oom agent die vandaag denkt “joh, laat ik eens even de verkeersgegevens van hsdejong opvragen en bekijken”. Dat moet wel aan bepaalde voorwaarden voldoen en getoetst worden. Ik zie af en toe dit soort “verzoeken” voorbij komen, dat kan niet even 1 iemand op eigen houtje beslissen. Ik sta daar eerlijk gezegd dubbel in, ik begrijp (en wil ook) dat ernstige criminaliteit opgespoord en bestraft moet worden, maar ik hecht ook aan de waarde van privacy. De huidige regelgeving is zeker niet geweldig en waterdicht (als dat ooit al kan), maar zoals gezegd ook echt niet zo dat het zo “op straat” ligt.
Eens, en zoals ik eerder al schreef: als jij je daar prettig bij voelt is het ook helemaal prima natuurlijk. Je doet er in principe niemand kwaad mee tenslotte.
Zelfs als de verbinding TLS versleutelt is wordt hostname van de site die je bezoekt (bijvoorbeeld www.freedom.nl) nog altijd clear-text verstuurt. Anders zou je voor iedere website een separaat IP met een certificaat nodig hebben. (dat was t/m SSL 3.0 zo). Met TLS bedacht men dat dat (ook gezien de IPv4 schaarste) een slecht idee was, en dat het beter was de host header cleartext te versturen zodat de webserver op basis daarvan de selectie van het certificaat kon doen.
de data, inclusief eventuele GET style parameters of cookies zitten daar niet in. Het is echt zuiver de FQDN.
Je hebt gelijk, maar ter verduidelijking; alleen de hostname, niet alles wat daar achter staat. Dus freedom.nl/contact is niet zichtbaar, alleen freedom.nl. Men heeft dus geen idee welke informatie jij opgezocht/gezien hebt onder de betreffende host, alleen dat je die host bezocht hebt.
Als je er over nadenkt toch eigenlijk best wel een beetje eng, blij dat ik daarom bij Freedom klant ben, zodat ik zeker weet dat een partij deze informatie niet zal misbruiken. Persoonlijk ben ik dan ook niet zo’n fan om dit soort informatie bij een VPN service neer te leggen, dan liever toch een vertrouwde ISP als Freedom. Overigens, als je in een land woont waar je om het hebben van andere ideeën en/of voorkeuren (waar je anderen geen kwaad mee doet) niet veilig bent en de internetproviders van de staat zijn of de staat daar een flinke vinger in de pak heeft, is dat natuurlijk een ander verhaal. Dan toch de voorkeur voor VPN. Wij hebben het geluk in NL te leven. Hoe zaken hier gaan hebben we met z’n allen ook vaak genoeg wat op aan te merken, maar als je een beetje relativeert en verder kijkt in de wereld, mogen we onze handjes dichtknijpen.
Met FF 118+ kun je met DoH dit voorkomen.
Wel zien ze het IP adres en die kun je herleiden aan de websites achter het adres.
Om echt stiekem te doen, moet je toch echt meer maatregelen nemen.
Dan kom je al snel in de cat crimineel of paranoia terecht.
Een alleraardigste gedachte om de privacy van Freedom’ers nog beter te beschermen zou de inzet zijn van een proxy (bij Freedom*). Naar Ik mij kan herinneren dat xs4all o.a. die voorziening had.
*Ik weet, een ‘voorziening’ die er - ook - niet zal komen.
De term “stiekem” laat staan het veronderstelde afgeleide door mensen die zelf geen geheimen hebben, deel ik niet. Niemand anders dan de (ver)zender en vooral ontvanger heeft iets te maken met de data-uitwisseling. Zelfs de transporteur heeft wmb geen taak om daar iets over te registeren.
Interessant hier zou zijn te weten of en in welke mate Freedom het DNS verkeer kan (voor/door wie laten) loggen.
Op verzoek van de overheid.
Sleepwet?
Ik vraag me ook af, of het juridisch wel zo handig is als Freedom iets aan bied om je verkeer helemaal te verbergen.
Een proxy is ook niet de oplossing, als ze gedwongen zijn om je af te tappen.
Een VPN die een klant zelf kiest, is een betere keuze als je de behoefte hebt.
Anderen zeggen dan weer, met een VPN maak je je juist verdacht.
Vroeger, uit de tijd dat ze alleen de telefoon af tapten.
Je weet wel, uit de tijd dat ze dat nog stiekem mochten doen.
Niemand deed er iets tegen, omdat we nog geen internet hadden om er over te klagen.
Deden we het met opzet, over bommen en granaten te praten in een telefoon gesprek.
Tis maar net wat je (allemaal/niet) wilt van privacy. Om je te verbergen voor de (lokale) overheid, zijn heel andere stappen (mogelijk en) van toepassing. Dan moet je allereerst geen gebruik maken van door instanties herleidbaar gereguleerde & gestandaardiseerde zaken. Chasing the rabbit wordt dan het zoekspel.
Dat iemand het verdacht vindt dat anderen te koop willen lopen met gedragingen, zegt mij veel over de persoon die privacy verdacht vindt.
Ik ken ze natuurlijk en het zijn mensen die alles willen weten van een ander en vooral dat vanuit zichzelf (be)redeneren.
Ik vind het belangrijker dat servers/locaties waar ik naartoe surf, niet zomaar kunnen herleiden vanuit welk client-ip dat is. Hooguit dat men dan uitvindt dat het iemand van Freedom is. Ik benader dagelijks vele sites om alleen maar even zoekend te glimpen. Ik heb daarbij geen zin om op elke werkstation daarvoor dan VPN’s te moeten gebruiken.
Kortom een proxyserver past wmb 100% in en bij een provider die privacy voor haar gebruikers belangrijk vindt.
Ik vind het dan “irritant” dat daaruit onmiddelijk penetraties plaatsvinden op mijn host-adres. Een van de redenen dat ik thuis geen externe services draai anders dan via ssh onsloten.
Bij herhaling merk ik dat sommige wannabe’ s een heus schema doorlopen en niet schromen zomaar een maand later dat opnieuw proberen.